Buchbinder: 10 Terabyte persönliche Kundendaten frei zugänglich

Autovermietung Buchbinder: 10 Terabyte persönliche Kundendaten frei zugänglich

Von | 23. Januar 2020, 11:28

Drei Millionen Kundendatensätze mit über fünf Millionen Dateien der Autovermietung Buchbinder waren für mehrere Wochen für jeden frei zugänglich

Datenleck bei Buchbinder – Das Wichtigste zu Beginn:

  1. Zehn Terabyte große Datenbank mit umfangreichen Datensätzen zurück bis ins Jahr 2003 frei zugänglich
  2. Datenbank inzwischen geschlossen
  3. Was tun, falls eigene Daten betroffen sein könnten

Die zehn Terabyte große Datenbank umfasst neben Adressen und Telefonnummern der Kunden, aber auch Unfallberichte und weitere sensible Daten wie Rechnungen, E-Mails und Verträge seit 2003. Namen, Adressen, Geburtsdaten, Informationen zu Arbeitgebern bei Geschäfts-Buchungen, Telefonnummern, Zahlungsinformationen, Bankverbindungen und E-Mail Adressen sind in der gut filterbaren Datenbank enthalten. Wenigstens waren Kreditkartendaten nicht öffentlich einzusehen. Rund 2,5 Millionen der betroffenen Kunden kommen aus Deutschland, 450.000 aus Österreich.

- Werbung -
Aktuelles Top-Thema:

Sogar, wenn man selbst niemals ein Auto bei Buchbinder gemietet hat, könnte es vorkommen, dass seine persönlichen Daten zu finden sind. Nämlich dann, wenn man Unfallgegner, -opfer oder Zeuge eines Unfalls im Zusammenhang mit einem Buchbinder-Fahrzeug war. Betroffen sind scheinbar auch Kunden, die über Vermittlungsportale wie „Car del Mar“ oder „billiger-mietwagen.de“ ein Fahrzeug gemietet hat.

Buchbinder wurde bereits vorab auf das Datenleck hingewiesen

Laut Heise Online wurde das Datenleck durch gemeinsame Recherche des Computermagazins c’t und der Wochenzeitung DIE ZEIT entdeckt. Heise Online nennt den Vorfall eines der größten Datenlecks der Geschichte der Bundesrepublik.
Der Hinweis auf das Datenleck, so Heise, kam vom IT-Sicherheitsexperten Matthias Nehls, der angibt, zwei Mal das Unternehmen direkt auf die Datenpanne aufmerksam zu machen – wie es scheint, ohne Erfolg. Daraufhin beschloss er, sich an den bayerischen Landesdatenschutzbeauftragten sowie an Heise und die Zeit zu wenden.

Gravierender Verstoß gegen die DSGVO

Verantwortliche müssen nun beantworten, warum offenbar auf die gesamte MSSQL-Datenbank ohne Passwort zugegriffen werden konnte. Auch müssen Fragen bezüglich der DSGVO beantwortet werden, da Datensätze zum Teil bis 2003 zurück aufbewahrt und nicht nach zehn Jahren gelöscht wurden, was datenschutzrechtlich korrekt wäre. Es könnte sich um Verstöße gegen die DSGVO handeln, was ein hohes Bußgeld bedeuten dürfte.

- Werbung -

Für diejenigen, die die Daten abgreifen konnten, dürfte es nicht mal strafrechtliche Konsequenzen bedeuten, da die Datenbank offen lag und es sich um keinen Hackerangriff handelte. Es war möglich, mit Tools wie z.B. einem Netzwerkscanner die Datenbanken auf fehlende Sicherheitsmaßnahmen zu prüfen und so Zugang zu erhalten.

Inzwischen ist die Datenbank geschlossen. Buchbinder gibt an, man habe „unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst“.

Gelangt man nun an einen Datensatz, wäre das strafrechtlich relevant.

Informationen bekannter Persönlichkeiten enthalten

Auch Personen, die in der Öffentlichkeit stehen, sind betroffen. Datensätze von Politikern, Botschaftsmitarbeitern und Datenschützern sind enthalten. Laut Heise Online ist ein Datensatz des Grünen-Chef Robert Habeck mit Privatadresse, Telefonnummer und E-Mail Adresse enthalten. Aber auch Politiker sämtlicher anderer Parteien, Mitarbeiter von Bundesministerien der Polizei und Bundeswehr, ausländischer Botschaften, sogar Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) findet man unter den Betroffenen.

Bin ich betroffen?

Will man herausfinden, ob die eigenen Daten betroffen sind, kann man eine Abfrage an den Anbieter senden. Heise Online hat hierfür eine Vorlage bereitgestellt, die man an Buchbinder übermitteln kann. Bis die betroffenen Datensätze bei Haveibeenpwned oder in der Datenbank des Hasso-Plattner-Instituts einlangen, wird es noch ein wenig dauern.
Sollten die eigenen Daten betroffen sein, wird dringend empfohlen, sämtliche Passwörter zu ändern, Buchungen in Zukunft genauer zu kontrollieren und gegebenenfalls sogar die Telefonnummer wechseln.

Immenser Schaden für Buchbinder

Mit über 160 Mietstationen gehört die Autovermietung Buchbinder zu den größten deutschen Autovermietern und bezeichnet sich selbst als Marktfüher im Privatkunden-Bereich PKW und LKW in Deutschland und Österreich. Seit 2017 ist Buchbinder Mitglied der französischen Europcar-Gruppe.

Mit den erbeuteten Daten stehen die Türen offen für Phishing-Attaken oder auch der Verkauf der Daten. Sofern die Daten noch aktuell sind, können diese für diverse Betrugsszenarien verwendet werden. Abgesehen davon kann der Vorfall für Buchbinder selbst einen enormen Schaden bedeuten. Einerseits leidet das Image darunter, andererseits lassen sich Erträge, Kaufpreise, Unfallhäufigkeit und auch Zahlen zu Verleihvorgängen und Verleihzeiten auslesen. Informationen, die für die gesamte Branche interessant sein können.

Quelle: t3n.de
Artikelbild: Shutterstock / Von Tobias Arhelger
Wir brauchen deine Unterstützung
An alle unsere Leserinnen und Leser! Wir haben keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten offen halten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama auch weiterhin geben
. Hier kannst Du unterstützen: via
PayPal, Steady oderPatreon
- Werbung -
- Werbung -
- Werbung -